ChatGPT新機能に脆弱性、Gmail情報が流出する恐れ

セキュリティ企業Radwareは2025年9月18日、OpenAIのAIエージェント「Deep Research」に対する新たな攻撃手法「ShadowLeak」を公開しました。この攻撃はプロンプトインジェクションを利用し、エージェントが攻撃者のウェブサイトを閲覧するだけで、ユーザーのGmail受信箱から機密情報を抜き取り外部サーバーに送信します。ユーザー操作は不要で、情報が抜き取られた痕跡も残りません。

「Deep Research」はOpenAIが今年発表した新機能で、ユーザーのメールや文書、ウェブ情報を横断的に参照し、複雑な調査を自律的に実行します。人間であれば数時間かかる調査を数十分で完了させる高い生産性をうたっていますが、その自律的なウェブ閲覧機能が今回の攻撃の標的となりました。

攻撃の仕組みは、AIエージェントが攻撃者の用意したウェブサイトを閲覧し、そこに埋め込まれた不正な指示（プロンプト）を実行することから始まります。これにより、エージェントはGmail内の情報を外部サーバーへ送信してしまいます。被害者は情報が流出したことに気づくのが極めて困難です。

今回の発見は、AIアシスタントを便利にするための機能、すなわちメールへのアクセスや自律的なウェブ閲覧といった能力そのものが、深刻なデータ漏洩のリスクをはらんでいることを浮き彫りにしました。利便性の追求が、新たなセキュリティ上の課題を生み出していると言えるでしょう。

「ShadowLeak」は、従来のセキュリティ対策の限界も示唆しています。ユーザーが意図的にクリックすることを前提としたデータ漏洩防止策などでは、AIエージェントが自律的に行う情報漏洩を防ぐことは困難です。AI時代の新たなセキュリティ対策の必要性が高まっています。